Aktuelle Best Practices für den Einsatz von SSL/TLS

RC4 deaktivieren, Forward Secrecy einrichten

| Autor / Redakteur: Ivan Ristic, Leiter SSL Labs bei Qualys / Stephan Augsten

TLS- und HTTP-Komprimierung

Im vergangenen Jahr haben wir von dem Angriff mit dem Codenamen CRIME erfahren, der ein Problem bei der Kompression ausnützt, um Daten abzugreifen. Mittlerweile hat sich CRIME zu TIME und BREACH weiterentwickelt: zwei Angriffen, die sich nicht nur gegen die TLS-Komprimierung richten (die ohne weitere Konsequenzen leicht deaktiviert werden kann), sondern auch gegen die allgegenwärtige HTTP-Komprimierung.

Da TIME und BREACH nicht nur die SSL/TLS-Verschlüsselung betreffen, können sie nur durch Änderung des Quellcodes von Anwendungen entschärft werden. Die Vorgehensweise wird in den meisten Fällen erheblichen Arbeitsaufwand erfordern.

Ein Schlüssel für jede Verbindung

Nicht zuletzt haben wir dieses Jahr einige Details zu umfangreichen weltweiten Überwachungsprogrammen erfahren. Dabei kam insbesondere ans Licht, dass die Kompromittierung privater Schlüssel von Servern eine weit verbreitete Methode ist, um verschlüsselte Kommunikation zu knacken.

Aus diesem Grund raten wir nun, auf allen Sicherheitsservern Forward Secrecy zu unterstützen. Wenn diese Funktion aktiviert ist, werden für jede Verbindung separate Verschlüsselungsschlüssel verwendet, sodass die verschlüsselten Daten auch dann sicher bleiben, wenn der private Schlüssel des Servers kompromittiert wurde.

Neben Informationen zu diesen wichtigen Entwicklungen in der Bedrohungslandschaft haben wir die Gelegenheit genutzt, um eine Reihe schrittweiser Aktualisierungen einzuarbeiten. So empfehlen wir jetzt beispielsweise, 1024-Bit-Schlüssel, SSL 3 und 3DES aus dem Verkehr zu ziehen. Außerdem haben wir einen Beitrag über neue Technologien wie ECDSA-Schlüssel eingefügt.

Die SSL/TLS Deployment Best Practices v1.3 stehen auf der Website von SSL Labs zum Download zur Verfügung.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42365530 / Security-Devices und -Tools)